La denuncia di Symantec: alcune applicazioni per il social network possono accedere ai dati degli account. Il problema riguarda l’uso dei token di accesso.
Symantec punta il dito contro Facebook spiegando che i programmatori che hanno realizzato alcune applicazioni per il celeberrimo social network potrebbero aver avuto accesso, in modo accidentale, al contenuto degli account di altri utenti.
Secondo quanto illustrato dai tecnici di Symantec, potrebbero essere quindi stati esposti a terzi, senza l’autorizzazione dei legittimi “proprietari”, interi profili di Facebook, fotografie, sessioni di chat e così via.
Il problema sarebbe stato segnalato al social network che ha posto in essere tutta una serie di interventi correttivi per sanare il problema.
Symantec ha scoperto che, in taluni casi, le applicazioni di Facebook che fanno uso di IFRAME potevano aver aperto l’accesso ai “token” degli utenti da parte di terzi.
Il funzionamento dei token
I “token” di accesso solo delle chiavi che vengono consegnate dall’utente alla singola applicazione Facebook. Quest’ultime possono utilizzare i “token” regolarmente acquisiti per effettuare delle operazioni al posto dell’utente od attingere alle informazioni conservate sul suo profilo.
A ciascun “token” corrispondono dei permessi che consentono di stabilire se concedere o meno all’applicazione il diritto di leggere quanto pubblicato nella bacheca, di “postarvi“, di accedere ai profili degli amici e così via.
Per impostazione predefinita, la maggior parte dei “token” di accesso “scade” dopo poco tempo. Tuttavia, come ricorda Symantec, l’applicazione può richiedere l’autorizzazione per l’accesso offline. Ciò significa che l’applicazione potrà continuare ad usare i token sino al cambio della password, anche quando non si è loggati al social network.
Da qualche tempo, di default, Facebook impiega ora il protocollo OAUTH 2.0 per l’autenticazione: i precedenti meccanismi di autenticazione sono tuttavia ancora supportati ed utilizzati, secondo Symantec, da centinaia di migliaia di applicazioni.
Non appena un utente visita la pagina https://apps.facebook.com/nomeapplicazione/ – aggiungono i tecnici di Symantec – Facebook invia all’applicazione un certo numero di informazioni circa l’utente (ad esempio paese di residenza, lingua prescelta, età). Utilizzando tali dati, l’applicazione può personalizzare il suo comportamento ed il suo look grafico.
L’applicazione provvede quindi a reindirizzare l’utente verso una pagina contenente una serie di permessi. Se l’applicazione utilizza una versione obsoleta delle API di Facebook unitamente ad alcuni parametri ormai superati (return_session=1 e session_version=3), il social network restuisce il “token” inviando una richiesta HTTP contenente proprio il “token” stesso all’interno dell’URL.
Nishant Doshi, in una nota pubblicata sul blog di Symantec, spiega che a questo punto l’applicazione Facebook si trova nella posizione di poter esporre i token di accesso anche ad utenti terzi.
Cliccando su un elemento presente nella pagina prodotta dall’applicazione Facebook, il server web di destinazione può acquisire il token dell’utente dal momento che questo è ben evidenziato, in chiaro, nel campo referrer della richiesta di connessione HTTP.
“Non c’è modo di stimare quanti token possono essere stati sottratti dal 2007 – l’anno di lancio delle applicazioni Facebook – sino ad oggi“, ha concluso Doshi. “Temiamo però che alcuni di questi token possano essere ancora conservati nei file di log dei server web gestiti da terzi od ancora utilizzati da società esterne che hanno interesse nel profilare l’utenza del social network. Gli utenti registrati a Facebook che fossero preoccupati per questa problematica, possono modificare la propria password d’accesso per invalidare tutti i token eventualmente sottratti“.